‘Intellectueel eigendom is vogelvrij’

De bescherming van bedrijfsgeheimen is een van de belangrijkste prioriteiten voor 2019. Een eerste aanzet hiervoor is de Wet bescherming bedrijfsgeheimen die in oktober is aangenomen door de Eerste Kamer. Maar om hun Intellectueel Eigendom te beschermen, zullen organisaties ook zelf maatregelen moeten nemen.

Het ‘Cybersecurity Beeld’ van het NCSC en het jaarverslag van de AIVD hebben duidelijk gemaakt dat het niveau van cybersecurity in Nederland omhoog moet. Niet alleen om de vitale belangen van de staat te beschermen, maar ook om het intellectueel eigendom van het Nederlandse bedrijfsleven te bewaken. Er wordt inmiddels internationaal actief gejaagd op ‘Intellectual Property’ (IP) – en dat ligt in het bedrijfsleven zeer gevoelig.

Intellectueel eigendom

De Wet bescherming persoonsgegevens en haar opvolger de AVG hebben in de afgelopen maanden veel aandacht gekregen in de media, maar in oktober is in Nederland ook de Wet bescherming bedrijfsgeheimen in werking getreden. De reden voor die wet is dat, met name dankzij globalisering en digitalisering, de mogelijkheid voor bedrijven om bepaalde informatie geheim te houden onder druk staat. Die vertrouwelijkheid is cruciaal voor de concurrentie­positie en het innovatief vermogen van bedrijven. Waarom investeren in de tijdrovende ontwikkeling van nieuwe producten of diensten als vervolgens een ander er eenvoudig mee aan de haal kan gaan?

Diefstal van intellectueel eigendom is niets nieuws – maar de globalisering en de opkomst van grote internationale netwerken maken dit soort criminaliteit wel steeds makkelijker. De economische gevolgen worden bovendien steeds groter en dus is dringend behoefte aan een wettelijk kader om dat te beteugelen. Het Europees Parlement heeft in 2016 een richtlijn uitgevaardigd voor ‘de bescherming van niet-openbaar gemaakte knowhow en bedrijfsinformatie (bedrijfsgeheimen) tegen het onrechtmatig verkrijgen, gebruiken en openbaar maken daarvan’.

In Nederland heeft dat geresulteerd in de Wet bescherming bedrijfsgeheimen. De wet definieert een bedrijfsgeheim als informatie die geheim is, daarmee ‘handelswaarde’ heeft en dus geheim gehouden dient te worden. Door de wettelijke bescherming wordt het makkelijker voor bedrijven om concurrenten aan te pakken die met hun bedrijfsgeheimen aan de haal gaan.

De dreiging uit cyberspace

De strategische waarde van intellectueel eigendom wordt vrijwel geheel bepaald door de mate waarin anderen er niet over kunnen beschikken. Diefstal van IP is dus niet alleen aantrekkelijk om er zelf rijker van te worden, maar ook om anderen waarde te ontnemen. Het is een economisch wapen dat zowel voor individuele bedrijven als voor statelijke actoren buitengewoon aantrekkelijk is. Een wet die dit probeert te reguleren is onmisbaar om tot vervolging over te kunnen gaan – maar als je als organisatie fors in IP hebt geïnvesteerd, wil je toch liever voorkomen dat je met dit soort praktijken te maken krijgt.

Om te bepalen wat je tegen IP-diefstal zou kunnen doen, is het goed je af te vragen waarom cybercrime überhaupt nog zoveel in het nieuws is. De digitale wereld is niet anders dan de fysieke wereld, in de zin dat criminaliteit nooit volledig is uit te bannen; waar waarde is, is diefstal. Wat vreemd is aan criminaliteit in de digitale wereld, is dat de meeste cybercrime schijnbaar weinig oplevert. Dat het toch gebeurt, komt vooral doordat het laagdrempelig en eenvoudig is. Bovendien is de pakkans nog steeds gering – daar verandert een strengere wet op zich weinig aan.

De basis op orde

De digitale weerbaarheid van Nederland staat onder druk, schreef het NCSC in het Cybersecurity Beeld 2018, en dat komt met name door ‘te weinig aandacht voor digitale veiligheid’. Bedrijven accepteren inmiddels dat de cloud zelf veilig is, maar vergeten vervolgens te controleren wat er in die cloud gebeurt. Er worden wel back-ups gemaakt, maar niet gecheckt of die back-ups voldoen. Bedrijven nemen preventieve maatregelen, maar hebben geen protocollen voor als het toch fout gaat. Technische oplossingen worden niet goed geconfigu­reerd. Updates niet gedraaid. De meeste bedrijven zijn onvoldoende opgewassen tegen cybercrime, doordat vaak heel eenvoudige beveiligingsmaatregelen niet worden genomen.

Er zijn hele goede oplossingen voor cybersecurity en detectie op het allerhoogste niveau. Denk bijvoorbeeld aan een SOC (Security Operation Center). Als iemand via een slecht beveiligd apparaat of met een eenvoudig geraden wachtwoord toegang krijgt tot je data in de cloud, zal een cloud provider dat niet per se merken – maar een SOC signaleert direct dat op een ongebruikelijke manier toegang wordt gezocht tot vertrouwelijk materiaal. Veruit de meeste bedrijven ontdekken pas maanden later dat ze zijn ‘gehackt’. Een SOC ziet het direct en helpt meteen de juiste maatregelen te nemen.

Er is dus wel degelijk iets te doen tegen bedrijfsspionage. Er is nu zelfs een wet die juridisch houvast biedt voor een goede verdediging. Maar als een organisatie en haar medewerkers de meest basale beveiligingsmaatregelen niet op orde hebben, zijn noch de wet, noch de beste experts en de slimste technologie in staat cybercrime afdoende te bestrijden. Zolang daar niets aan verandert, is intellectueel eigendom – ook wettelijk gezien – vogelvrij.

Fokke Dijksma is CyberSecurity Consultancy Lead bij Thales

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.